Java模糊查询(Mybatis模糊查询相关,xml),防止sql注入
1.先看一波这种写法实现模糊查询:
<select id="queryExample_01" resultMap = "userMap" >
select id, nickname, email, password, create_time, phone_number
from ex_user
where nickname like '%${nickname}%'
</select>
说明:
一般情况下,这种方法通过使用“$”可以实现,但是通过 $ 的方式是直接的拼接sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql语句,这样的话会导致 sql注入的问题。
2.安全的实现模糊查询:
<select id="queryExample_02" resultMap = "userMap" >
select id, nickname, email, password, create_time, phone_number
from ex_user
where nickname like concat('%',#{nickname},'%')
</select>
说明:
既能够解决sql注入又能在xml配置文件中写%的实现,可以借助mysql的 concat() 函数;上面这个示例是全模糊查询,另外,想左模糊查询,就把右边 逗号引号百分号 去掉,想右模糊查询,就把左边 引号百分号逗号 去掉;
分析总结:
1、#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用
PreparedStatement的set方法来赋值。#将传入的数据都当成一个字符串,会对自动
传入的数据加一个双引号。,使用占位符的方式提高效率,可以防止sql注入。
如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username=“111”, 如果传入的值是id,则解析成的sql为where username=“id”.
2、$ 将传入的数据直接显示拼接在sql中。
如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;
如果传入的值是;drop table user;,则解析成的sql为:select id, username, password, role from user where username=;drop table user; 执行完,表没了,直接裂开。
3、#方式能够很大程度防止sql注入,$方式无法防止Sql注入。
4、$方式一般用于传入数据库对象,例如传入表名.
5、一般能用#的就别用$,若不得不使用 “ $ {xxx} ”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
6、在MyBatis中,"$ {xxx}" 这样格式的参数会直接参与SQL编译,从而不能避免注入
攻击。但涉及到动态表名和列名时,只能使用“${xxx}”这样的参数格式。所以,这样的
参数需要我们在代码中手工进行处理来防止注入。
友情链接:sql注入相关